CSRF必须用java吗_java – 无法验证提供的CSRF令牌.仅使用xml

最新推荐文章于 2022-09-05 15:14:09 发布
最新推荐文章于 2022-09-05 15:14:09 发布
阅读量83 收藏
点赞数
文章标签: CSRF必须用java吗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31849853/article/details/114947708
版权

我正在学习Spring框架,我正在使用xml配置文件来实现安全性:

user-service-ref="jdbcUserService"

remember-me-parameter="remember-me" token-validity-seconds="1209600" />

并以我的登录表格:

method='POST'>

User:
Password:
Remember Me

value="Login" />

value="${_csrf.token}" />

但是在我登录并经过一段时间后(我在web.xml中将会话超时设置为1分钟)我在浏览器中收到此错误:

无法验证提供的CSRF令牌,因为找不到您的会话.

到目前为止,我找不到任何仅使用xml文件进行配置的帖子.这都是关于使用java进行配置的,其他一些答案建议在登录表单中包含csrf隐藏输入,我已经这样做了.知道如何解决这个问题吗?

P.S:web.xml文件如下所示:

< web-app xmlns:xsi =“http://www.w3.org/2001/XMLSchema-instance”xmlns =“http://xmlns.jcp.org/xml/ns/javaee”xsi:schemaLocation =“ http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd“id =”WebApp_ID“version =”3.1“>

弹簧教程-51&LT /显示名称>

< description> Spring教程网络应用< / description>

&LT欢迎-文件列表>

&LT欢迎-文件>&index.html的LT /欢迎-文件>

&LT欢迎-文件>&的index.htm LT; /欢迎-文件>

&LT欢迎-文件>&的index.jsp LT; /欢迎-文件>

&LT欢迎-文件>&default.html中LT; /欢迎-文件>

&LT欢迎-文件>&的Default.htm LT; /欢迎-文件>

&LT欢迎-文件>&的Default.jsp LT; /欢迎-文件>

&LT /欢迎-文件列表>

&LT servlet的&GT

&LT描述&GT&LT /描述&GT

&报价LT; /显示名称>

&LT servlet的名称>&报价LT; / servlet的名称>

&LT servlet的类&GT org.springframework.web.servlet.DispatcherServlet&LT / servlet的类&GT

&LT负载上启动→1&LT /负载上启动&GT

&LT / servlet的&GT

&LT servlet的映射&GT

&LT servlet的名称>&报价LT; / servlet的名称>

&LT URL模式&GT /&LT / url-pattern的&GT

&LT / servlet的映射&GT

&LT资源引用&GT

< description>数据库连接< / description>

&LT RES-REF-名称>的JDBC / springtutorial&LT / RES-REF-名称>

&LT RES型&GT javax.sql.DataSource中&LT / RES型&GT

&LT RES-AUTH&GT集装箱&LT / RES-AUTH&GT

&LT /资源引用&GT

&LT听者GT;

&LT监听级&GT org.springframework.web.context.ContextLoaderListener&LT /监听级&GT

&LT /收听GT;

&LT的context-param&GT

&LT PARAM-名称>的contextConfigLocation&LT / PARAM-名称>

&LT PARAM值&GT

类路径:COM / myproject的/春/网络/配置/道的context.xml

类路径:COM / myproject的/春/网络/配置/服务的context.xml

类路径:COM / myproject的/春/网络/配置/安全的context.xml

&LT / PARAM值&GT

&LT /的context-param&GT

&LT滤光器>

&springSecurityFilterChain LT; /显示名称>

&LT过滤器名称>&springSecurityFilterChain LT; /过滤器名称>

&LT滤波器级&GT org.springframework.web.filter.DelegatingFilterProxy&LT /滤波器级&GT

&LT /滤光器>

&LT过滤器映射&GT

&LT过滤器名称>&springSecurityFilterChain LT; /过滤器名称>

&LT URL模式&GT / *&LT / url-pattern的&GT

&LT /过滤器映射&GT

&LT会话配置&GT

&LT会话超时→1&LT /会话超时&GT

&LT /会话配置&GT

&LT / web应用程序&GT

我将以下配置添加到我的安全配置文件中.

我将此添加到我的security-context.xml,这是一个安全配置文件.

user-service-ref="jdbcUserService"

remember-me-parameter="remember-me" token-validity-seconds="1209600" />

我希望令牌在1分钟后有效,持续1209600秒.

解决方法:

我不明白这里令人惊讶的部分在哪里?你之前这么说

I set the session timeout to be 1 minute in the web.xml

除了会话之外,服务器还可以存储其CSRF令牌的副本吗?因此,当您的会话在一分钟内到期时,服务器无法找到其副本以匹配您的请求中的CSRF令牌并引发此类异常.

因此,要解决此问题,只需增加会话超时. (对我来说只有1分钟的超时时间看起来非常严格.即使在“安全”的地方,我也没有看到现实生活中不到10分钟的任何事情.通常更多.)

标签:java,spring

来源: https://codeday.me/bug/20190522/1154503.html

寨森Lambda-CDM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf-login-token:来自登录令牌中间件的CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护中间件。 要求先对进行初始化。 该模块基于并使用几乎相同的API,但是它使用现有的登录令牌而不是创建新的令牌和cookie。 这样做的安全影响进行了讨论。 安装 $ npm install csurf-login-token --save 原料药 const csurf = require ( 'csurf-login-token' ) ; csurf(cookieName [,options]) cookieName 存储登录令牌的cookie的名称。 有关如何安全生成此内容的许多在线教程,请这样做。 选项 csurf函数采用一个可选的options对象,该对象可能包含以下任何键: ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。 价值 提供中间件将调用的
基于JSP的Java Web项目的CSRF防御示例
01-07
3. **生成和验证CSRF令牌**:在每个需要防护的JSP页面中,使用Spring Security提供的`<sec:csrfTokenRepository>`标签生成令牌,并在表单中添加隐藏字段。然后在后台验证提交的令牌。 ```jsp ${_csrf.parameter...
java接口令牌_利用Java编码测试CSRF令牌验证的Web API
weixin_32821251的博客
02-24 237
前一篇拙文是利用了Jmeter来测试带有CSRF令牌验证的WebAPI;最近几天趁着项目不忙,练习了用编码的方式实现。有了之前Jmeter脚本的基础,基本上难点也就在两个地方:获取CSRF令牌、Cookie的传递。首先添加依赖,在POM.xml中添加以下内容:org.apache.httpcomponentshttpclient4.5.6org.jsoupjsoup1.11.3解释作用:- ht...
无法验证提供CSRF令牌,因为不到您的会话
qq_39009944的博客
05-20 906
在一台机器上安装两个Tomcat,在两个不同的Tomcat上部署了A和B两个项目,两个项目代码不相同。启动两个Tomcat后,使用同一个浏览器分别访问不同的Tomcat,出现sessionid(JSESSIONID)互相覆盖的情况。 如果A项目开启了CSRF防护,上面的sessionid覆盖就会导致操作A项目会出现“无法验证提供CSRF令牌,因为不到您的会话。”这个异常,新版本的Spring Security 不会帮你捕获这个异常,所以你可能在控制台什么都看不到,你可以在安全配置类自己捕获异常。 /*
java报错 csrf_java 到预期的CSRF令牌.您的会话是否...
weixin_42492000的博客
02-25 237
我正在尝试使用mkyong示例编写我的测试弹簧安全应用程序.Spring Security: 4.0.0.RC1Spring: 4.1.4.RELEASE我有以下安全配置:access="hasRole('ADMIN')"/>username-parameter="user"password-parameter="password"login-page="/"default-target-u...
Java Web 安全之CSRF
Lyn12030706的专栏
01-31 1249
概念 跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 原理 用户登陆A网站 A网站确认身份 B网站页面向A网站发起请求(带A网站身份) 危害 -利用用户登陆态 -盗取用户资金(转账、消费) -用户不知情 -冒充用户发帖背锅 -完成业务请求 -损坏网站名誉 CSRF攻击防御 1. 禁止第三方网站带Cookies
application-sexurity.zip_java security_spring security
09-24
Spring Security是Java生态中用于构建安全Web应用的顶级框架,它提供了全面的身份验证、授权和访问控制功能。本资源"application-sexurity.zip"显然是围绕Spring Security在Java安全领域的应用展开的,下面将详细...
oauthprovider.rar_Java编程_Java_
08-11
7. 第三方应用使用访问令牌访问用户在服务提供者上的资源,刷新令牌用于在访问令牌过期后获取新的访问令牌。 在Java中实现OAuth Provider,我们需要理解以下关键组件: - `OAuthService`:这是与OAuth交互的核心...
JAVA密码保护页面.rar_java
09-22
可以设置会话超时,使用HTTPS协议,或者使用CSRF(跨站请求伪造)令牌来增加安全性。 5. **错误处理**:在设计登录系统时,应考虑错误处理机制,如展示错误消息,处理多次尝试失败后的锁定策略等。 6. **最佳实践*...
LoginAction.rar_Ajax_Java_
08-12
这个"LoginAction.rar_Ajax_Java_"文件显然与使用Ajax和Java开发登录动作有关。下面我们将深入探讨Ajax和Java在实现无刷新登录过程中的关键知识点。 1. **Ajax基础**: - **异步通信**:Ajax的核心特性是异步,即...
如何防御CSRF攻击
tq1086的博客
12-28 803
http://tommwq.tech/blog/2020/12/28/294 1会话和cookie 会话(session)这一术语通常有两重含义。首先,会话表示客户端和服务器端之间的一系列交互。一次交互可以理解为一次请求-应答过程。在这一系列交互过程中,往往需要保存一些和交互有关的信息(比如登录信息),这些信息有时叫做通讯上下文(context)。会话也可以用来指代通讯上下文。出于安全性和性能的考虑,通讯上下文通常保存在服务器端。为了让服务器可以同时服务多个客户端,区分不同客户端的上下文,服务器为每个.
java csrf攻击,Spring-Security对CSRF攻击的支持
weixin_28784019的博客
03-19 122
何时使用CSRF保护什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3106
CSRF 详解 ! spring security 攻击
Java中的跨站请求伪造
allway2的博客
07-25 590
Java提供针对CSRF攻击的内置保护;开发人员必须通过手动强制执行反CSRF令牌使用许多经过良好测试的可用库之一来实现它。当使用标准的ServletAPI时,双重提交cookie技术可以如下实现。要生成用作标记的随机字符串,可以使用。...
SpringSecurity笔记一
Ned_mahone的博客
12-19 376
Spring Security基础: 1. 新建项目 导入jar包 新建各种包 2. 配置web.xml servlet: dispatcherServlet org.springframework.web.servlet.DispatcherServlet contextClass org.springframework.web.context.support.
解决Django + DRF:403 FORBIDDEN:CSRF令牌丢失或不正确,{"detail":"CSRF Failed: CSRF cookie not set."}
qq_43475097的博客
11-06 3977
解决Django + DRF:403 FORBIDDEN:CSRF令牌丢失或不正确,{“detail”:“CSRF Failed: CSRF cookie not set.”} 我有一个Android客户端应用程序尝试使用Django + DRF后端进行身份验证。但是,当我尝试登录时,我收到以下响应: 403: CSRF Failed: CSRF token missing or incorrec...
同步令牌模式防范CSRF跨站请求伪造攻击
weixin_34226706的博客
03-14 215
什么是“跨渣请求伪造”呢?这是信息安全领域的一个名词,译自英文“Cross Site Request Forgery”。 百度百科上介绍的很简单却很明了,大家可以看一下,我这里配合一些代码稍微多说一点。 假设我们要在银行网站上给老妈转100块钱,毕竟毕业这么多年了也没给过家里钱(虽然你认为他们都在赚钱不需要你给,况且你自己现在赚钱刚好可以经...
利用Java编码测试CSRF令牌验证的Web API
weixin_33734785的博客
08-17 206
前一篇拙文是利用了Jmeter来测试带有CSRF令牌验证的WebAPI;最近几天趁着项目不忙,练习了用编码的方式实现。 有了之前Jmeter脚本的基础,基本上难点也就在两个地方:获取CSRF令牌、Cookie的传递。 首先添加依赖,在POM.xml中添加以下内容: <!-- https://mvnrepository.com/a...
java csrf filter 示例代码
最新发布
07-14
下面是一个使用 Java 编写的 CSRF 过滤器的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值